PERFILES MULTIPLES
El soporte a multiples perfiles en ICF, le permite drear dos colecciones de potiliticas para el firewall: una, cuando la maquina está conectada a una red corporativa y otra cuando no lo está. De esta manera, podemos especificar que las politicas sean menos restrictivas en la red corporativa y tener una politica mucho mas agresiva cuando estamos guera de ella.
Los perfiles multiples colo se aplican en las maquinas que están unidas a un Dominio. Las maquinas que estás solo a grupos de trabajo unicamente mantienen un perfil.
¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?
Para maquinas portatiles, es una buena opcion y es deseable el poder tener mas de una configuracion de ICF. Cuando se está a salvo aen una red corporativa, podemos bajar el nivel de seguridad, pero en cambio, al conectarse en Internet, es critico el asegurarse que solo los puertos necesarios estan expuestos al exterior.
SOPORTE A RPC
-
En anteriores versiones de Windows, ICF bloquea las llamadas a procedimiento remotod (RPC).
ICF puede ser configurado para permitir trafico al RPC Endpoint Mapper. Algunas aplicaciones y componentes fallan si el puerto de RPC no tiene permisos para comunicarse en la red. Algunos ejemplos son los siguientes (existen bastantes mas):
* Compartir Archivos e Impresoras.
* Administracion Remota.
* Configuracion de WMI remota.
* Scripts para manejar clientes remotos y servidores.
EL RPC abre varios puertos y ofrece diferentes servidores en ellos. En una configuracion tipio de estacion de trabajo o servidor, hay cerca de 60 servidores RPC ejecutadonse por defecto y en escucha de petidiones de clientes en la red. Algunos servidores tienen mas, dependiendo de su configuracion.
Este es el lado peligroso del ataque al RPC.
Los procesos servidores del RPC incluidos con Windows XP, son multiples y sin embargo son lanzados por el mismo nombre de fichero imagen (svchost.exe). ICF adopta diferentes posturas de cara a los servicios RPC. Cuando se abre un puerto, el llamador puede reclamar que el puerto sea uno de los del RPC. ICF aceptará solo esto si el llamador se está ejecutando en los contextos de Local System. Network Service o Local Service. ICF lleva tambien un flag en el perfil que permite que puertos de RPC sean abiertos aunque el llamador no esté en la lista de permisos de ICF.
Este indicador es un indicador en el registro (REG_DWORD) llamado PriviligedRpcServerPermission. Los valores corresponden a los enumerados para NET:FWV4_SERVICE_PERMISION:
0. Servidores RPC solo estan permitidos si estan dentro de la lista de permisos de ICF
1. Si un servidor RPC no está en la lista de permisos del ICF, el puerto puede ser abierto pero solo aceptará llamadas de la subred local.
2 Si un servidor RPC no está en la lista de permisos de ICF, el puerto puede ser abierto al trafico en cualquier subred.
NOTA: Sin embargo, las aplicaciones autorizadas siempre sobreescriben la opciones genericas del RPC. Por ejemplo, si una opcion del RPC esta puesta como "allow local", pero el servidor RPC está tambien en la lista de permisos del ICF, en la cual, por ejemplo, el permitir solo a la subred local está colocado a "false", el puerto RPC quedará abierto a todas las subredes.
¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?
Asegurarnos que el ICF trabaja con el RPC requerido para algunos entornos corporativos. Y sin embargo, que los servicios RPC no esten expuestos a la red por defecto. Siendo mas exactos, podemos controlar exactamente que servicios del RPC estan expuestos a la red. Por contra, añadiendo un nombre generico de proceso como SVCHOST.EXE a la lista de ICF (o de cualquier otro firewall comercial), exponemos todos los servicios a un ataque de red. ICF puede controlar, a pesar de ser el mismo programa ejecutable, que servicios seran los realmente expuestos.
¿QUE TRABAJARA DIFERENTE O DEJARA DE TRABAJAR?
-
Por defecto, RPC no funcionará a traves de ICF. TOdos los servicios y aplicaciones que usen RFC se verán afectados. Sin embargo, ICF puede ser configurado para permitir trabajar con los servicios RPC.
SOPORTE REFORZADO A LA COMUNICACION MULTICAST Y BROADCAST
El trafico de red Multicast y Broadcast difiere del unicast (visto hasta ahora), en que las respuestas provienen de hosts desconocidos. Por ello, los firewalls normales y las versiones anteriores del ICFm filtraban estas conexiones e impedian que fuesen aceptadas. Esto deja que la maquina deje de funcionar en un monton de escenarios y configuraciones sobre todo en aquellas multimedia de tipo streaming.
Para permitir que en estos escenarios el funcionamiento de las aplicaciones sea correcto, ICF permite una respuesta unicast durante los siguientes tres segundos desde cualquier origen en le mismo puertos desde el cual se ha originado la peticion multicas o broadcast.
¿CUAL ES EL CAMBIO IMPORTANTE Y QUE SE TRATA DE MITIGAR?
Esto permite a los servicios y a las aplicaciones que usen comunicaciones multicast/broadcast comunicarse con el mundo sin necesidad de usar un servicio para alterar la politica del firewall. Es importante resaltar que ciertos servicios como NETBIOS sobre TPC/IP, y algunos puertos sensibles a este tipo de trafico, *no* seran expuestos.
Jose Manuel Tella Llop
MVP - Windows
jmtella@compuserve.com
http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Leer las respuestas